欧美97色伦欧美一区二区日韩,国产福利片在线观看,freexxx性欧美vide0高清,西西亚洲,日本欧美国产精品第一页久久,成人18免费软件

當前位置: 維易PHP培訓學院 > 服務器運維 > 內容正文

Linux權限控制的基本原理

作者:VEPHP   時間 2017-09-18

《Linux權限控制的基本原理》要點:
本文介紹了Linux權限控制的基本原理,希望對您有用。如果有疑問,可以聯(lián)系我們。

Linux權限控制的基本原理

本文主要介紹 Linux 系統(tǒng)中,權限控制的基本原理.

安全模型

在 Linux 系統(tǒng)中,我們所有的操作實質都是在進行進程訪問文件的操作.我們訪問文件需要先取得相應的訪問權限,而訪問權限是通過 Linux 系統(tǒng)中的安全模型獲得的.

對于 Linux 系統(tǒng)中的安全模型,我們需要知道下面兩點:

  1. Linux 系統(tǒng)上最初的安全模型叫 DAC, 全稱是 Discretionary Access Control ,翻譯為自主訪問控制.
  2. 后來又增加設計了一個新的安全模型叫 MAC, 全稱是 Mandatory Access Control, 翻譯為強制訪問控制.

注意, MAC 和 DAC 不是互斥的, DAC 是最基本的安全模型,也是通常我們最常用到的訪問控制機制是 Linux 必須具有的功能, 而 MAC 是構建在 DAC 之上的加強安全機制,屬于可選模塊.訪問前, Linux 系統(tǒng)通常都是先做 DAC 檢查, 如果沒有通過則操作直接失敗 ; 如果通過 DAC 檢查并且系統(tǒng)支持 MAC 模塊,再做 MAC 權限檢查.

為區(qū)分兩者,我們將支持 MAC 的 Linux 系統(tǒng)稱作 SELinux, 表示它是針對 Linux 的安全加強系統(tǒng).

這里,我們將講述 Linux 系統(tǒng)中的 DAC 安全模型.

DAC 安全模型

DAC 的核心內容是:在 Linux 中,進程理論上所擁有的權限與執(zhí)行它的用戶的權限相同.其中涉及的一切內容,都是圍繞這個核心進行的.

用戶和組 ID 信息控制

用戶、組、口令信息

通過 /etc/passwd 和 /etc/group 保存用戶和組信息,通過 /etc/shadow 保存密碼口令及其變動信息, 每行一條記錄.

用戶和組分別用 UID 和 GID 表示,一個用戶可以同時屬于多個組,默認每個用戶必屬于一個與之 UID 同值同名的 GID .

對于 /etc/passwd , 每條記錄字段分別為 用戶名: 口令(在 /etc/shadow 加密保存):UID:GID(默認 UID): 描述注釋: 主目錄: 登錄 shell(第一個運行的程序)

對于 /etc/group , 每條記錄字段分別為 組名:口令(一般不存在組口令):GID:組成員用戶列表(逗號分割的用戶 UID 列表)

對于 /etc/shadow ,每條記錄字段分別為: 登錄名: 加密口令: 最后一次修改時間: 最小時間間隔: 最大時間間隔: 警告時間: 不活動時間:

舉例

以下是對用戶和組信息的舉例. /etc/shadow 中的口令信息為加密存儲,不舉例.

Linux權限控制的基本原理

文件權限控制信息

文件類型

Linux 中的文件有如下類型:

  • 普通文件, 又包括文本文件和二進制文件, 可用 touch 創(chuàng)建;
  • 套接字文件, 用于網絡通訊,一般由應用程序在執(zhí)行中間接創(chuàng)建;
  • 管道文件是有名管道,而非無名管道, 可用 mkfifo 創(chuàng)建;
  • 字符文件和塊文件均為設備文件, 可用 mknod 創(chuàng)建;
  • 鏈接文件是軟鏈接文件,而非硬鏈接文件, 可用 ln 創(chuàng)建.

訪問權限控制組

分為三組進行控制:

  • user 包含對文件屬主設定的權限
  • group 包含對文件屬組設定的權限
  • others 包含對其他者設定的權限

可設定的權限

下面給出常見(但非全部)的權限值, 包括:

  • r 表示具有讀權限.
  • w 表示具有寫權限.
  • x 一般針對可執(zhí)行文件 / 目錄,表示具有執(zhí)行 / 搜索權限.
  • s 一般針對可執(zhí)行文件 / 目錄,表示具有賦予文件屬主權限的權限,只有 user 和 group 組可以設置該權限.
  • t 一般針對目錄,設置粘滯位后,有權限的用戶只能寫、刪除自己的文件, 否則可寫、刪除目錄所有文件.舊系統(tǒng)還表示可執(zhí)行文件運行后將 text 拷貝到交換區(qū)提升速度.

舉例

通過 ls -l 可以查看到其文件類型及權限,通過 chmod 修改權限.

舉例來說,

Linux權限控制的基本原理

輸出中, 第 1 個字符表示文件類型,其中,普通文件 (-)、目錄文件 (d)、套接字文件 (s),管道文件 (p),字符文件 (c),塊文件 (b),鏈接文件 (l); 第 2 個字符開始的 -rwxr-xr-x 部分表示文件的權限位,共有 9 位.

對于文件 /usr/bin/qemu-i386 , 這個權限控制的含義是:

  1. 第 2~4 位的 rwx 表示該文件可被它的 owner (屬主)以 r 或 w 或 x 的權限訪問.
  2. 第 5~7 位的 r-x 表示該文件可被與該文件同一屬組的用戶以 r 或 x 的權限訪問
  3. 第 8~10 位的 r-x 表示該文件可被其它未知用戶以 r 或 x 的權限訪問.

對于 test/, test2/, test3/ 設定的權限:

  1. r,w,x 權限對每一權限控制組的權限用一位 8 進制來表示; 例如: 755 表示 rwxr-xr-x .
  2. s,t 權限會替代 x 位置顯示;設定 s,t 權限則需在對應的、用于控制 r,w,x 的 8 進制權限控制組前追加數字; s 權限用于屬主屬組控制, t 用于其它控制.
  3. 設定屬主 s 需追加 4, 設定屬組 s 追加 2, 設定其它者 t 權限追加 1 ; 例如前面對 test/ 設定 t, 則用 1775, 表示 rwxrwxr-t .

進程權限控制信息

進程權限

對于進程,有如下屬性與文件訪問權限相關:

  • effective user id : 進程訪問文件權限相關的 UID (簡寫為 euid ).
  • effective group id : 進程訪問文件權限相關的 GID (簡寫為 egid ).
  • real user id : 創(chuàng)建該進程的用戶登錄系統(tǒng)時的 UID (簡寫為 ruid ).
  • real group id : 創(chuàng)建該進程的用戶登錄系統(tǒng)時的 GID (簡寫為 rgid ).
  • saved set user id : 拷貝自 euid .
  • saved set group id : 拷貝自 egid .

舉例

我們可以使用 ps 和 top 選擇查看具有 euid 和 ruid 的進程.或者通過 top 來查看進程的 euid 和 ruid

通過 top 來查看的例子:

首先輸入 top 得到類似如下

Linux權限控制的基本原理

這里通過 -d 選項延長 top 的刷新頻率便于操作.此處可見,只有 USER 字段,表示相應進程的 effective user id.

打開 read user id 的顯示選項:

a. 在 top 命令運行期間,輸入 f, 可以看見類似如下行:

b. 輸入 c 即可打開 Real user name 的顯示開關.

c. 最后 Return 回車回到 top 中,即可看到 real user id 的選項.此時輸入`o`,可調整列次序.最終我們可看到包含`effective user id`和`real user id`的輸出如下:

Linux權限控制的基本原理

進程訪問文件的權限控制策略

規(guī)則

進程訪問文件大致權限控制策略

對于進程訪問文件而言,最重要的是 euid, 所以其權限屬性均以 euid 為 “中心”.

  • 進程的 euid 一般默認即為 其 ruid 值
  • 若可執(zhí)行文件的可執(zhí)行權限位為 s ,進程對其調用 exec 后,其 euid 被設置為該可執(zhí)行文件的 user id
  • 進程的 saved set user id 拷貝自 euid.
  • 當進程的 euid 與文件的 user id 匹配時,進程才具有文件 user 權限位所設定的權限
  • 組權限 egid 的控制規(guī)則類似.

通過 exec 執(zhí)行文件修改權限屬性

通過 exec 調用可執(zhí)行文件之時:

  • 進程 ruid 值始終不變;
  • saved set-user ID 始終來自 euid ;
  • euid 值取決于文件的 set-user-ID 位是否被設置.

如下:

Linux權限控制的基本原理

通過 setuid(uid) 系統(tǒng)調用修改權限屬性

通過 setuid(uid) 修改權限屬性之時:

  • superuser 可順利修改 ruid, euid, saved set-user ID ;
  • unprivileged user 只能在 uid 與 ruid 相等時修改 euid, 其它無法修改.

舉例

再舉幾個比較特別的例子:

設置了 set-user-id

Linux權限控制的基本原理

如前所述,這個輸出的含義是,對于 /usr/bin/sudo 文件,

  • 第 1~3 位的 rws 表示該文件可被它的 owner(屬主)以 r 或 w 或 s 的權限訪問
  • 第 4~6 位的 r-x 表示該文件可被與該文件同一屬組的用戶以 r 或 x 的權限訪問.
  • 第 7~9 位的 r-x 表示該文件可被其它未知用戶以 r 或 x 的權限訪問.

這樣設置之后,對于 owner,具有讀、寫、執(zhí)行權限,這一點沒有什么不同.但是對于不屬于 root 組的普通用戶進程來說,卻大不相同.

普通用戶進程執(zhí)行 sudo 命令時通過其 others 中的 x 獲得執(zhí)行權限,再通過 user 中的 s 使得普通用戶進程臨時具有了 sudo 可執(zhí)行文件屬主 ( root ) 的權限,即超級權限.

這也是為什么通過 sudo 命令就可以讓普通用戶執(zhí)行許多管理員權限的命令的原因.

設置了 stick-bit

Linux權限控制的基本原理

這樣設置之后,對于 /tmp 目錄,任何人都具有讀、寫、執(zhí)行權限,這一點沒有什么不同.但是對于 others 部分設置了粘滯位 t, 其功能卻大不相同.

若目錄沒設置粘滯位,任何對目錄有寫權限者都則可刪除其中任何文件和子目錄,即使他不是相應文件的所有者,也沒有讀或寫許可 ; 設置粘滯位后,用戶就只能寫或刪除屬于他的文件和子目錄.

這也是為什么任何人都能向 /tmp 目錄寫文件、目錄,卻只能寫和刪除自己擁有的文件或目錄的原因.

舉一個 man 程序的應用片斷,描述 set-user-id 和 saved set-user-id 的使用

man 程序可以用來顯示在線幫助手冊, man 程序可以被安裝指定 set-user-ID 或者 set-group-ID 為一個指定的用戶或者組.

man 程序可以讀取或者覆蓋某些位置的文件,這一般由一個配置文件 (通常是 /etc/man.config 或者 /etc/manpath.config ) 或者命令行選項來進行配置.

man 程序可能會執(zhí)行一些其它的命令來處理包含顯示的 man 手冊頁的文件.

為防止處理出錯, man 會從兩個特權之間進行切換:運行 man 命令的用戶特權,以及 man 程序的擁有者的特權.

需要抓住的主線:當只執(zhí)行 man 之時,進程特權就是 man 用戶的特權, 當通過 man 執(zhí)行子進程(如通過 !bash 引出 shell 命令)時,用戶切換為當前用戶,執(zhí)行完又切換回去.

過程如下:

  1. 假設 man 程序文件被用戶 man 所擁有,并且已經被設置了它的 set-user-ID 位,當我們 exec 它的時候,我們有如下情況:
    – real user ID = 我們的用戶 UID
    – effective user ID = man 用戶 UID
    – saved set-user-ID = man 用戶 UID
  2. man 程序會訪問需要的配置文件和 man 手冊頁.這些文件由 man 用戶所擁有,但是由于 effective user ID 是 man, 文件的訪問就被允許了.
  3. 在 man 為我們運行任何命令的時候,它會調用 setuid(getuid())) (getuid() 返回的是 real user id).
    因為我們不是 superuser 進程,這個變化只能改變 effective user ID. 我們會有如下情況:
    現(xiàn)在 man 進程運行的時候把我們得 UID 作為它的 effective user ID. 這也就是說,我們只能訪問我們擁有自己權限的文件.也就是說,它能夠代表我們安全地執(zhí)行任何 filter.
    – real user ID = 我們的用戶 UID(不會被改變)
    – effective user ID = 我們的用戶 UID
    – saved set-user-ID = man 的用戶 UID(不會被改變)
  4. 當 filter 做完了的時候, man 會調用 setuid(euid).
    這里, euid 是 man 用戶的 UID.(這個 ID 是通過 man 調用 geteuid 來保存的) 這個調用是可以的,因為 setuid 的參數和 saved set-user-ID 是相等的.(這也就是為什么我們需要 saved set-user-ID). 這時候我們會有如下情況:
    – real user ID = 我們的用戶 UID(不會被改變)
    – effective user ID = man 的 UID
    – saved set-user-ID = man 的用戶 UID(不會被改變)
  5. 由于 effective user ID 是 man, 現(xiàn)在 man 程序可以操作它自己的文件了.
    通過這樣使用 saved set-user-ID, 我們可以在進程開始和結束的時候通過程序文件的 set-user-ID 來使用額外的權限.然而,期間我們卻是以我們自己的權限運行的.如果我們無法在最后切換回 saved set-user-ID, 我們就可能會在我們運行的時候保留額外的權限.

下面我們來看看如果 man 啟動一個 shell 的時候會發(fā)生什么:

  • 這里的 shell 是 man 使用 fork 和 exec 來啟動的.
  • 因為這時 real user ID 和 effective user ID 都是我們的普通用戶 UID(參見 step3), 所以 shell 沒有其它額外的權限.
  • 啟動的 shell 無法訪問 man 的 saved set-user-ID(man) , 因為 shell 的 saved set-user-ID 是由 exec 從 effective user ID 拷貝過來的.
  • 在執(zhí)行 exec 的子進程 ( shell ) 中,所有的 user ID 都是我們的普通用戶 ID.

實際上,我們描述 man 使用 setuid 函數的方法不是特別正確,因為程序可能會 set-user-ID 為 root . 這時候, setuid 會把所有三種 uid 都變成你設置的 id,但是我們只需要設置 effective user ID.

關于作者

呂凱,大連理工大學碩士,現(xiàn)為 TPV 資深主任工程師.關注軟件開發(fā)、系統(tǒng)運維、內容管理、行動管理等領域,喜歡計數寫作及分享.(文章來自公眾號:高效運維開發(fā))

轉載請注明本頁網址:
http://www.snjht.com/jiaocheng/3745.html


    標簽: